Selon le rapport sur la protection des applications F2021 Labs 5, les ransomwares sont l'une des principales menaces à la sécurité des données. Voici 10 conseils pour les entreprises sur les mesures de sécurité actuelles qu'elles doivent mettre en œuvre. Par Roman Borovits, ingénieur principal des systèmes DACH F5.
1. Authentification multifacteur
Les mots de passe traditionnels ne suffisent plus : l'authentification multifacteur (MFA) devrait être requise pour accéder à tous les systèmes contenant des données importantes. Si MFA ne peut pas être configuré partout, il doit d'abord être utilisé pour tous les comptes administratifs. La prochaine priorité est l'accès à distance. Ensuite, la MFA pour les e-mails doit être déployée, la plupart des principales plates-formes prenant en charge la MFA. De nombreux outils d'authentification unique permettent d'accéder à différentes applications après une seule connexion - et ainsi de protéger également les systèmes hérités.
2. Des mots de passe forts
Lorsque la MFA n'est pas possible, des politiques conviviales pour les mots de passe forts doivent être appliquées. Les entreprises doivent vérifier régulièrement les mots de passe choisis par les utilisateurs par rapport à un dictionnaire, des mots de passe par défaut, volés et connus. Des mots de passe longs avec des caractères spéciaux sont requis. En cas de saisies incorrectes, aucune indication ne doit être donnée sur la manière de réinitialiser les mots de passe, ce qui pourrait mettre les cybercriminels sur la bonne voie. De plus, les données de connexion expirées ou invalides doivent être bloquées immédiatement.
3. Restreindre l'accès
Le principe du moindre privilège s'applique notamment aux comptes admin. Pour les services informatiques plus importants, les droits peuvent être divisés par région, fuseau horaire ou domaine de responsabilité. Les administrateurs doivent également disposer d'un compte non privilégié à des fins quotidiennes telles que la lecture d'e-mails, la navigation sur Internet ou l'utilisation d'applications Office. Si un administrateur clique accidentellement sur un e-mail de phishing contenant un rançongiciel, les effets sont limités.
Cependant, les droits doivent également être limités pour tous les utilisateurs et systèmes. Par exemple, les serveurs Web ont besoin de droits sur leurs propres services et répertoires, mais pas sur l'ensemble du réseau. Ou un serveur de sauvegarde peut être configuré pour avoir un accès en lecture seule au domaine principal afin qu'il puisse copier des fichiers pour la sauvegarde. De plus, les comptes d'utilisateurs généraux doivent être comparés aux données personnelles afin que seules les bonnes personnes aient accès aux données pertinentes.
4. Surveiller les journaux
Les attaquants essaieront de couvrir leurs traces. Par conséquent, le système de surveillance doit donner une alarme si les journaux sont supprimés, manipulés ou empêchés. Il est également conseillé d'être averti lors de la création d'un compte administrateur ou lorsque de nombreuses connexions échouent dans un court laps de temps.
5. Segmentation du réseau
Les pare-feu peuvent limiter les infections par des logiciels malveillants à des segments d'utilisation, des systèmes ou des niveaux de confiance spécifiques. Si les pare-feux internes ne peuvent pas être mis en œuvre, des réseaux locaux virtuels peuvent être configurés. Un système de gestion à distance doit avoir accès à Internet ou au réseau interne, mais pas aux deux en même temps. Les droits d'accès des interfaces administratives doivent également être limités par des règles de réseau.
6. Infrastructure et applications de correctifs
Les périphériques réseau et les pare-feu utilisés pour gérer la segmentation du réseau doivent être corrigés régulièrement. Il en va de même pour tous les systèmes et applications utilisés dans l'entreprise. Sinon, les pirates exploiteront les vulnérabilités.
7. Protégez les sauvegardes
En cas d'attaque par rançongiciel, les entreprises doivent effacer toutes les données en direct et les restaurer à partir de sauvegardes. Les cybercriminels le savent aussi. Par conséquent, ils endommagent de plus en plus les systèmes de sauvegarde avant d'activer le rançongiciel réel. La stratégie de sauvegarde 3-2-1 protège contre cette méthode. Cela signifie que les entreprises font trois copies de sauvegarde, deux sur des supports différents et une hors site. Les images système, les logiciels d'application ou les configurations doivent également être sauvegardés.
8. Testez le processus de récupération
L'exhaustivité et la rapidité des processus de sauvegarde et de récupération doivent être testées. Récupérer quelques fichiers est rapide, mais combien de temps le processus prend-il pour des centaines de téraoctets ? Quiconque sauvegarde des données en ligne doit également vérifier la bande passante et les coûts. Certains fournisseurs de cloud facturent des frais nettement plus élevés pour le téléchargement de données que pour le téléchargement.
9. Sauvegardes immuables
De nombreux systèmes de sauvegarde offrent désormais des options de stockage immuables. Un fichier de sauvegarde créé ne peut plus être écrasé, manipulé ou supprimé. Le verrouillage peut être temporaire pour répondre aux exigences légales en matière de journaux inviolables et de protection des données.
10. Défense en profondeur
Aucune mesure de sécurité ne peut offrir une protection à XNUMX % contre les ransomwares. Par conséquent, les entreprises devraient poursuivre une stratégie de défense en profondeur. Pour ce faire, ils connectent plusieurs mesures de sécurité à la suite qui fonctionnent de différentes manières. Cela augmente le coût de l'attaque car les cybercriminels doivent contourner plusieurs méthodes différentes.
Les mesures de protection à utiliser dans quels cas dépendent de l'activité commerciale, de l'infrastructure technologique, de la culture et des risques. Dans un premier temps, il est important d'analyser les menaces possibles pour l'entreprise. La deuxième étape consiste à identifier les systèmes et les données particulièrement dignes de protection. Ceci est suivi par l'établissement de contrôles qui se chevauchent pour éliminer autant de dangers que possible. Et même si chaque mesure n'est efficace qu'à 80 %, trois d'affilée conjurent environ 99 % des attaques.
Plus sur F5.com
À propos des réseaux F5 F5 (NASDAQ : FFIV) donne aux plus grandes entreprises, fournisseurs de services, agences gouvernementales et marques grand public du monde la liberté de fournir n'importe quelle application en toute sécurité, n'importe où et en toute confiance. F5 fournit des solutions cloud et de sécurité qui permettent aux entreprises de tirer parti de l'infrastructure qu'elles choisissent sans sacrifier la vitesse et le contrôle. Visitez f5.com pour plus d'informations. Vous pouvez également nous rendre visite sur LinkedIn et Facebook pour plus d'informations sur F5, ses partenaires et ses technologies.